美國服務(wù)器DNS緩存欺騙是 DNS記錄更改,導(dǎo)致惡意重定向流量的結(jié)果。美國服務(wù)器DNS 魂村欺騙可以通過直接攻擊 DNS 美國服務(wù)器主機(jī),或通過任何形式的專門針對 DNS 流量的中間人攻擊來執(zhí)行。下面美聯(lián)科技小編就來具體介紹下美國服務(wù)器DNS緩存欺騙的內(nèi)容。
美國服務(wù)器DNS 緩存欺騙以一種利用 DNS 通信結(jié)構(gòu)的方式明確地工作,當(dāng) DNS 美國服務(wù)器主機(jī)嘗試在域上執(zhí)行查找時(shí),它會(huì)將請求轉(zhuǎn)發(fā)到根權(quán)威 DNS,并沿著 DNS 美國服務(wù)器主機(jī)鏈向下查詢,直到它到達(dá)域上的權(quán)威 DNS 美國服務(wù)器主機(jī)。
由于本地 DNS 美國服務(wù)器主機(jī)不知道具體哪個(gè)服務(wù)器負(fù)責(zé)對應(yīng)哪個(gè)域,并且不知道到每個(gè)權(quán)威服務(wù)器的完整路由,因此只要回復(fù)與查詢匹配并且格式正確,它就會(huì)從任何地方接受對其查詢的回復(fù)。
因此攻擊者利用在回復(fù)本地 DNS 美國服務(wù)器主機(jī)時(shí),擊敗實(shí)際的權(quán)威 DNS 美國服務(wù)器,這樣做本地 DNS 美國服務(wù)器主機(jī)將會(huì)使用攻擊者的 DNS 記錄,而不是實(shí)際的權(quán)威答案。由于 DNS 的性質(zhì),本地 DNS 美國服務(wù)器主機(jī)無法確定回復(fù)的真實(shí)性。
由于 DNS 美國服務(wù)器主機(jī)將在內(nèi)部緩存查詢,因此每次請求域時(shí),不必花費(fèi)時(shí)間查詢權(quán)威美國服務(wù)器主機(jī),從而加劇了這種攻擊。而這同時(shí)帶來了另一個(gè)問題,因?yàn)槿绻粽呖梢該魯?quán)威DNS 美國服務(wù)器主機(jī)進(jìn)行回復(fù),那么攻擊者記錄將被本地 DNS 美國服務(wù)器主機(jī)緩存,這意味著任何使用本地DNS美國服務(wù)器主機(jī)的用戶都將獲得攻擊者記錄,可能會(huì)重定向所有使用該本地 DNS 美國服務(wù)器主機(jī)的用戶,都可以訪問攻擊者的網(wǎng)站。
美國服務(wù)器DNS 緩存欺騙攻擊的案例:
案例一、生日攻擊的盲目響應(yīng)偽造
美國服務(wù)器DNS 協(xié)議交換不驗(yàn)證對遞歸迭代查詢的響應(yīng),驗(yàn)證查詢只會(huì)檢查 16 位事務(wù) ID 以及響應(yīng)數(shù)據(jù)包的源 IP 地址和目標(biāo)端口。在 2008 年之前,所有 DNS 使用固定端口53 解析,因此除了事務(wù) ID 之外,欺騙 DNS 回復(fù)所需的所有信息都是可預(yù)測的。用這種弱點(diǎn)攻擊 DNS 被稱為【生日悖論】,平均需要 256 次來猜測事務(wù) ID。
為了使攻擊成功,偽造的 DNS 回復(fù)必須在合法權(quán)威響應(yīng)之前到達(dá)目標(biāo)解析器。如果合法響應(yīng)首先到達(dá),它將由解析器緩存,并且直到其生存時(shí)間TTL到期,解析器將不會(huì)要求權(quán)威服務(wù)器解析相同的域名,從而防止攻擊者中毒映射該域。
案例二、竊聽
許多增強(qiáng) DNS 安全性的新提議包括源端口隨機(jī)化,0x20 XOR 編碼,WSEC-DNS,這些都取決于用于身份驗(yàn)證的組件的不對稱可訪問性。 換句話說,它們通過隱匿而不是通過身份驗(yàn)證和加密的機(jī)密性來提供安全性。它們的唯一目標(biāo)是如上所述,防止盲目攻擊使用這些安全方法,仍然使 DNS 容易遭受受損和網(wǎng)絡(luò)竊聽者的輕微攻擊,以打破并執(zhí)行如上所述的相同攻擊,這次沒有盲目猜測。
即使在交換環(huán)境中,也可以使用 ARP 中毒和類似技術(shù)強(qiáng)制所有數(shù)據(jù)包進(jìn)入惡意計(jì)算機(jī),并且可以擊破這種混淆技術(shù)。
美聯(lián)科技已與全球多個(gè)國家的頂級數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。關(guān)注美聯(lián)科技,了解更多IDC資訊!
